Sí claro, pero por consistencia todo lo deberías manejar con bindParam(), es bueno separar responsabilidades.
La idea es que la consulta sea sólo eso y no más, eso facilitará su lectura y modificación, de otra forma habría que estar lidiando siempre con la concatenación, etc.
Que no se trate de una variable sensible no evita que metas código mal.